实验拓扑图:
基于实验二!!
实验需求:
12,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1。
13,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M。
14,销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M。
15,移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分。
16,外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。
IP配置:
FW3:
<USG6000V1>sys
[USG6000V1]sysname FW3
[FW3]int g0/0/0
[FW3-GigabitEthernet0/0/0]ip add 192.168.0.4 24
[FW3-GigabitEthernet0/0/0]service-manage all permit
使用web登录配置其余IP地址:
IP地址配置完成
需求十二:
对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1。
链路聚合的形式配置心跳线(使用172.16.1.0网段赋予IP地址):
FW1:
FW3:
将心跳线接口都加入trust区域:
FW1:
FW3:
双击热备配置:
要使游客区和DMZ区走FW3,生产区和办公区的流量走FW1。就要在两个防火墙上个添加4个VRID,生产区和办公区分别为1和2,主设备为FW1,游客区和DMZ区分别为3和4,主设备为FW3。其中剩下的又各为其他设备的备。
FW1:
添加虚拟IP地址1(虚拟IP为10.0.1.254) — 主:
添加虚拟IP地址2(虚拟IP为10.0.2.254) — 主:
添加虚拟IP地址3(虚拟IP为10.0.3.254) — 备:
添加虚拟IP地址4(虚拟IP为10.0.0.254) — 备:
双击热备 — 负载分担:
FW3:
添加虚拟IP地址1(虚拟IP为10.0.1.254) — 备:
添加虚拟IP地址2(虚拟IP为10.0.2.254) — 备:
添加虚拟IP地址3(虚拟IP为10.0.3.254) — 主:
添加虚拟IP地址4(虚拟IP为10.0.0.254) — 主:
双机热备 — 负载分担:
因为FW3是新加入的防火墙,且总公司下面的生产区和办公区是划分了vlan的,所以需要在总公司的交换机上配置Trunk口放通vlan2和vlan3的流量:
总公司:
[LSW1]int g0/0/4
[LSW1-GigabitEthernet0/0/4]port link-type trunk
[LSW1-GigabitEthernet0/0/4]port trunk allow-pass vlan 2 3
[LSW1-GigabitEthernet0/0/4]undo port trunk allow-pass vlan 1
[LSW1-GigabitEthernet0/0/4]
修改设备网关IP地址:
其余设备也需要修改,测试只用三个pc,这里不做过多展示。
测试:
负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1。
分别在这几个区的防火墙入接口上抓包,统一首先开启FW1的抓包:
游客区:
FW1
FW3
由此可以看出pc4发往外网走的是FW3
办公区:
FW1:
FW3:
由此可以看出办公区的流量走的是FW1
由此需求完成!!
需求十三
办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M。
因为FW1为主设备,所以配置全都在FW1上完成
创建销售部:
先创建带宽通道:
办公区:
销售部:
构建带宽策略:
办公区:
销售部:
至此需求完成!!
需求十四
销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M。
新建带宽通道:
新建带宽策略:
需求十五
移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分。
修改移动链路带宽:
需求完成!!
需求十六
外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。
新建带宽通道:
外网访问DMZ区,下行为DMZ区的回包,DMZ中的每台服务器限制对外提供的最大下行带宽也就是回包带宽。
至此需求完成!!!
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
